巧合？严重RCE漏洞竟被意外修复

更多全球网络安全资讯尽在E安全官网www.easyaq.com

我来报： 邮件传输代理Exim存在一个严重漏洞，允许攻击者以root身份在电子邮件服务器上远程运行命令，互联网上近一半电子邮件服务器都受漏洞影响。

据外媒报道，网络安全公司Qualys的安全研究人员透露，一个重要的远程命令执行（RCE）安全漏洞（CVE-2019-10149）影响了超过一半的互联网电子邮件服务器。

该漏洞影响邮件传输代理（MTA）Exim，Exim是运行在电子邮件服务器上的软件，将电子邮件从发件人发送给收件人。 Qualys表示，在版本为4.87到4.91的Exim中发现了这一非常危险的漏洞。

根据2019年6月对互联网上所有可见邮件服务器的调查，57%（507,389）的电子邮件服务器运行Exim。该漏洞为远程命令执行，允许本地或远程攻击者以root用户身份在Exim服务器上运行命令。

Qualys表示，本地攻击者可以立即利用这个漏洞，即使是拥有低权限帐户的攻击者也可以利用漏洞。

真正的危险来自远程黑客，他们可以扫描互联网上易受攻击的服务器，接管系统。 要远程利用默认配置中的这个漏洞，攻击者必须保持与服务器的连接长达7天。 但是由于Exim代码的极端复杂性，不能保证这种利用方法是唯一的，可能存在更快的利用方法。 当Exim处于某些非默认配置状态时，远程场景中可以即时利用漏洞。

这个漏洞在2019年2月10日Exim 4.92发布时被意外修复，当Exim团队并不知道修复了这个安全漏洞。

直到最近，Qualys团队在审查Exim旧版本时才发现了这个漏洞。 Qualys的研究人员提醒Exim用户将版本更新到4.92，以免服务器被攻击者接管。 Qualys称这个漏洞很容易被利用，预计攻击者将在未来几天内提出利用代码。

推荐阅读：

▼点击“阅读原文” 查看更多精彩内容

喜欢记得打赏小E哦！

1、携带恶意程序的邮件根据最新报告，电子邮件继续在恶意软件分发生态系统中占主导地位。恶意代码可以作为附件文件查收，也可以通过指向随机在线资源(如GoogleDrive)的链接进行轮询。在病毒传播方面，SMTP流量优于其他协议。此外，病毒不一定是.exe文件，它们也可以伪装成用户通常信任的.doc或.pdf文档。Soul：打造志同道合的交友圈广告Soul：打造志同道合的交友圈所以，当面对不明邮件时，不打开不查看，并及时向安全部门反映情况，及时减少对企业的影响。2、网络钓鱼邮件中招钓鱼邮件在某种程度上是用户的个人问题。用户一旦打开钓鱼邮件链接就可能被诱导引发损失。但更多的情况下攻击者可能会以这种方式窃取企业数据，其中包括电子邮件地址、密码、企业通讯录、客户名单和重要文件。所以，面对转款、转账、索要密码等涉及企业敏感数据的邮件时，不轻信邮件，应电话再次确认。也可使用企业通讯录和邮件水印功能，可快速分辨出伪装的钓鱼邮件。3、恶意泄露邮件有人可能正在泄露公司数据，除非采用邮件数据防泄露(DLP)解决方案，否则无法得知泄露以及泄露的详情。可能只是将机密数据上传至云端，当需要时在进行下载利用。所以，配置邮件防泄漏系统就显得尤为重要，当企业部署（DLP）邮件防泄漏系统，一旦有涉密邮件外发，可有效的防止涉密邮件泄露，并及时告警审批。4、服务器漏洞无论是电脑系统还是邮件系统在设计上配置上都存在有漏洞的可能性。这些漏洞可能随时成为黑客进入的大门。研究发现近60％的服务器邮件服务器存在漏洞，造成这一漏洞的原因是内存溢出。所以，需要对邮件数据采取有效的加密处理，当数据加密后储存在服务器中，即使服务器遭遇攻击，邮件数据均为密文形式，不法分子无法对数据进行查看，这样才能确保邮件数据的安全性。5、离职员工泄露俗话说“铁打的营盘流水的兵”，人员变动在任何一家公司都是再平常不过的事情，但平常之中也潜伏着风险。邮件作为企业日常工作的传输工具，难免需要传输敏感数据，当这些员工离职，就将无法管控。所以，如果有重要邮件需要外发给合作伙伴，可进行管理审批后发出。同时企业用户可进行策略配置：禁止截屏、禁止转发、强制加密、邮件水印、离职管控等，邮件追踪等增加更多的管控机制，有效防止企业“内鬼”通过邮件外发泄密，并且员工离职后，以前企业的涉密加密邮件均不能再查看下载，防止员工离职后对企业造成威胁。

---